FYI
Una DMZ (demilitarized zone) è un segmento isolato di LAN (una "sottorete") raggiungibile sia da reti interne che esterne che permette, però, connessioni esclusivamente verso l'esterno: gli host attestati sulla DMZ non possono connettersi alla rete aziendale interna.
Tale configurazione viene normalmente utilizzata per permettere ai server posizionati sulla DMZ di fornire servizi all'esterno senza compromettere la sicurezza della rete aziendale interna nel caso una di tali macchine sia sottoposta ad un attacco informatico: per chi si connette dall'esterno dell'organizzazione la DMZ è infatti una sorta di "strada senza uscita" o "vicolo cieco".
Solitamente sulla DMZ sono infatti collegati i server pubblici (ovvero quei server che necessitano di essere raggiungibili dall'esterno della rete aziendale - ed anche dalla internet - come, ad esempio, server mail, webserver e server DNS) che rimangono in tal modo separati dalla LAN interna, evitando di comprometterne l'integrità.
Una DMZ può essere creata attraverso la definizione di policies distinte su uno o più firewall.
Le connessioni dalle reti esterne verso la DMZ sono solitamente controllate tramite una tipologia di NAT chiamata "port forwarding" o "port mapping"[1], implementata sul sistema che agisce da firewall.
Oltre al summenzionato firewall, di tipo packet filter (ossia che opera a livello di trasporto - layer quattro della pila ISO/OSI), è possibile implementare un differente approccio, impiegando un servizio di "reverse proxy", operante all'interno di un cosiddetto 'application layer firewall', che agisce a livello applicativo (layer sette della pila ISO/OSI).
Il "reverse proxy", invece di fornire un servizio applicativo agli utenti interni ad una rete locale -tipico del proxy comune-, provvede a fornire un accesso (indiretto) a risorse interne alla rete locale (in DMZ in questo caso), provenienti da una rete esterna (tipicamente internet).
copia incolla da wikipedia
Modificata da IL_BARONE, 12 March 2010 - 04:53 PM.